Zum Kommissionsvorschlag für eine neue Richtlinie über die Resilienz kritischer Einrichtungen
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Berlin, 17. Juni 2021
BDEW Bundesverband
der Energie- und
Wasserwirtschaft e. V.
Reinhardtstraße 32
10117 Berlin
www.bdew.de
Stellungnahme
zum Kommissionsvorschlag für
eine neue Richtlinie über die
Resilienz kritischer Einrichtungen
Ersatz der Richtlinie über die Ermittlung und
Ausweisung europäischer kritischer Infrastrukturen und
die Bewertung der Notwendigkeit, ihren Schutz zu
verbessern (2008/114/EG)
Stellungnahme der Energie- und Wasserwirtschaft
Transparenz-Register-ID: 20457441380-38
Der Bundesverband der Energie- und Wasserwirtschaft (BDEW), Berlin, und seine Landesorganisationen vertreten über
1.900 Unternehmen. Das Spektrum der Mitglieder reicht von lokalen und kommunalen über regionale bis hin zu über-
regionalen Unternehmen. Sie repräsentieren rund 90 Prozent des Strom- und gut 60 Prozent des Nah- und Fernwärme-
absatzes, 90 Prozent des Erdgasabsatzes, über 90 Prozent der Energienetze sowie 80 Prozent der Trinkwasser-Förderung
und rund ein Drittel der Abwasser-Entsorgung in Deutschland.BDEW-Stellungnahme zur Richtlinie über die Resilienz kritischer Einrichtungen Vorbemerkungen Die Europäische Kommission hat am 16. Dezember 2020 den Legislativvorschlag für eine Richtlinie über die Resilienz kritischer Einrichtungen (KE Richtlinie) vorgelegt. Mit der Rücknahme der aus dem Jahr 2008 stammenden Richtlinie über die Ermittlung und Ausweisung europäischer kriti- scher Infrastrukturen und die Bewertung der Notwendigkeit, ihren Schutz zu verbessern (EKI Richtlinie) verfolgt die Europäische Kommission das Ziel, den neuen Rechtsrahmen an die zuneh- mende Vernetzung zwischen Infrastrukturen, informationstechnischen Netzen und Betreibern kri- tischer Einrichtungen anzupassen und der erhöhten Anzahl an potenziellen und eingetretenen Ri- siken Rechnung zu tragen. Durch den neuen Vorschlag soll die Erbringung von Diensten auf dem Binnenmarkt verbessert werden, die für die Aufrechterhaltung essenzieller gesellschaftlicher Funktionen oder wirtschaftlicher Tätigkeiten wesentlich sind, indem die Resilienz von kritischen Einrichtungen, die diese Dienste erbringen, erhöht wird. Der Kommissionsvorschlag ist in enger Verbindung mit der NIS Richtlinie 2 (NIS 2) zu sehen. Damit trägt der Rechtsrahmen der zunehmenden Verflechtung zwischen der physischen und digitalen Sphäre Rechnung. Wir begrüßen, dass die EU sowohl Maßnahmen zur Cyber- als auch zur physi- schen Resilienz aufeinander abstimmt, und damit den notwendigen ganzheitlichen Ansatz ver- folgt. Die Rechtsgrundlage für beide Vorschläge bildet Artikel 114 des Vertrags über die Arbeitsweise der Europäischen Union, der auf die Schaffung und das Funktionieren des Binnenmarkts durch eine bessere Angleichung der einzelstaatlichen Rechts- und Verwaltungsvorschriften abzielt. Aus Sicht der Europäischen Kommission ist dies aufgrund der Verlagerung des Ziels, Anwendungsbe- reichs und Gegenstands der Richtlinie, der zunehmenden wechselseitigen Abhängigkeiten und der notwendigen Schaffung einheitlicherer Ausgangsbedingungen für kritische Einrichtungen gerecht- fertigt. Der BDEW begrüßt die Überarbeitung der Richtlinie, denn aus Sicht der deutschen Energie- und Wasserwirtschaft muss der jeweils gültige Rechtsrahmen im Einklang mit der sich entwickelnden Risikolandschaft stehen. Aus Sicht des BDEW ist die Gewährleistung einer hohen Resilienz von kritischen Einrichtungen eine Daueraufgabe höchster Priorität der deutschen Energie- und Wasserwirtschaft. Mit der Einführung der EKI-Richtlinie wurde 2008 erstmals ein einheitlicher Rechtsrahmen als Grundstein für den Schutz europäischer kritischer Infrastruktur, die eine grenzüberschreitende Bedeutung aufweist, gelegt. Vor diesem Hintergrund wurden einheitliche Vorgaben für die Aus- weisung solcher Infrastruktur sowie für die Erstellung von Sicherheitsplänen eingeführt. Dabei ist es aus unserer Sicht wichtig, dass der neue Richtlinienvorschlag die Verzahnung und Ab- stimmung mit bestehenden sektoralen Rechtsvorschriften berücksichtigt und den bürokratischen Aufwand und die damit einhergehenden Umsetzungskosten für Unternehmen ohne zusätzlichen Mehrwert verringert. Doppelregulierungen und Inkonsistenzen mit bereits bestehender sektoraler Gesetzgebung sollten unbedingt vermieden werden. www.bdew.de Seite 2 von 11
BDEW-Stellungnahme zur Richtlinie über die Resilienz kritischer Einrichtungen Die Stärkung der Resilienz kritischer Einrichtungen in Europa kann nur gelingen, wenn der Gesetz- geber einen klaren und straffen Rechtsrahmen vorgibt, der den Unternehmen eindeutige und überschneidungsfreie Vorgaben macht. Insbesondere sollte die EU-Kommission bei der Adressie- rung von physischen und Cyber-Risiken einen ganzheitlichen Ansatz anstreben. Ein hohes Maß an Kompatibilität der verschiedenen Rechtsakte wird für eine ganzheitliche Stärkung der Wider- standsfähigkeit Europas sowohl online als auch offline von entscheidender Bedeutung sein. Mit der Einführung der neuen Rechtsgrundlage und des damit einhergehenden Betreiber-Ansatzes sollte stets sichergestellt werden, dass Risiken nicht von Mitgliedsstaaten auf Betreiber, üb er Sek- toren oder über Grenzen hinweg übertragen werden, denn dies wäre kein verhältnismäßiger An- satz. Darüber hinaus kann die Richtlinie einen wertvollen Beitrag zur weiteren Stärkung des Präventi- onsansatzes führen. Dazu zählen entscheidend die Aspekte der Aufdeckung und Wiederherstel- lung durch Bereitstellung von mehr und detaillierteren Informationen über Risiken und Vorfälle in den Mitgliedstaaten von den nationalen zuständigen Behörden. Für den weiteren legislativen Prozess hat der BDEW konkrete Forderungen verfasst, die darauf ab- zielen, einen eindeutigen Rahmen für die Zusammenarbeit hinsichtlich Maßnahmen der Mitglied- staaten und den Betreibern kritischer Einrichtungen in den Vordergrund zu stellen, um die Resili- enz kritischer Einrichtungen in der EU weiter auf kosteneffiziente Art und Weise zu stärken und dabei die notwendige Rechtssicherheit und angemessene Umsetzungsspielräume für die Mitglied- staaten sicherzustellen. Im Detail zum Richtlinienvorschlag der Kommission (KOM 2020/829): 1. Rechtsinstrument und Rechtswirkung (Artikel 1): Das Rechtsinstrument in Form einer Richtlinie ist zu begrüßen, da es verhältnismäßig, angemes- sen und flexibel ist. Wir befürworten die EU-weite Einführung von allgemeinen Risikobewertun- gen sowie Maßnahmen zur Stärkung der Resilienz, die den Mitgliedstaaten und den Betreibern Kritischer Infrastrukturen Spielräume ermöglichen, um Maßnahmen gemäß dem Ansatz der Subsi- diarität und der Verhältnismäßigkeit umzusetzen. Aus diesem Grund begrüßen wir die Entschei- dung der Kommission, ihren Vorschlag in Form einer Richtlinie vorzulegen. Dies sollte vom Europä- ischen Parlament und Rat der EU unterstützt werden. Zur Rechtswirkung stellt der BDEW fest, dass die Kommission mit dem vorliegenden Vorschlag die Pflichten von Unternehmen weiter anpasst und innerhalb der Union stärker harmonisiert. Zugleich soll der Vorschlag den Mitgliedstaaten die erforderliche Flexibilität einräumen, besondere natio- nale und sektorspezifische Gegebenheiten berücksichtigen zu können. In diesem Zusammenhang sollte vor allem beachtet werden, dass Maßnahmen aus bereits bestehenden nationalen, bran- chenspezifischen Standards weiterhin erhalten und von dieser Richtlinie gewahrt bleiben. www.bdew.de Seite 3 von 11
BDEW-Stellungnahme zur Richtlinie über die Resilienz kritischer Einrichtungen 2. Anwendungsbereich der Richtlinie (Artikel 1, 2, 5, 6, Anhang): Mit der Überarbeitung der EKI Richtlinie und der Anpassung der Rechtsgrundlage von ehem. Art. 352 AEUV auf Art. 114 AEUV erfolgt eine Verlagerung des Zwecks der Richtlinie hin zum risikoba- sierten Ansatz auf Betreiberebene, dem s.g. „Operators Approach“, durch die Änderung des Kon- zepts vom Schutz bestimmter Anlagen weg in Richtung Stärkung der Resilienz der sie betreiben- den kritischen Einrichtungen (Erwägungsgrund 1). Es sollte dabei jedoch stets sichergestellt werden, dass Risiken nicht von Mitgliedsstaaten auf Be- treiber, über Sektoren oder über Grenzen hinweg übertragen werden, denn dies wäre kein ver- hältnismäßiger Ansatz (siehe Punkt 5.2) Im nationalen Kontext betrachtet ist dies eine Neuerung, die aktuell in dieser Art in Deutschland nicht zum Tragen kommt, da die Resilienz kritischer Einrichtungen bisher durch sektorale Gesetz- gebung geregelt wird. Darüber hinaus würde durch die KE Richtlinie die Anwendung des „All-Gefahren-Ansatz“ zur Ab- deckung aller relevanten natürlichen und vom Menschen verursachten Risiken etabliert werden. Dies ist analog zu bereits bestehender nationaler Gesetzgebung und Teil des risikobasierten Ansat- zes zur Informationssicherheit der NIS 2. Gemäß Artikel 1 (3) soll die KE-Richtlinie keine Anwendung finden, wenn bereits bestehende sek- torspezifische Rechtsakte der Union von den Betreibern kritischer Einrichtungen mindestens gleichwertige Maßnahmen verlangen. Basierend auf der aktuellen Formulierung ist allerdings un- klar, ob auch nationale branchenspezifische Standards darunterfallen. Aus Sicht des BDEW ist der Erhalt solcher nationalen branchenspezifischen Standards geboten, da über sie ein gutes Schutzni- veau etabliert wurde. 2.1. Ausweitung der Sektoren (Anhang) Der bestehende Vorschlag zur KE-Richtlinie beinhaltet eine erhebliche Ausweitung des Anwen- dungsbereiches auf nunmehr zehn Sektoren. Die Aufnahme des Trink- und Abwassersektors in den Geltungsbereich der Richtlinie ist aus Sicht des BDEW aufgrund der Kohärenz zur nationalen Rechtslage nachvollziehbar. Dabei ist stets si- cherzustellen, dass ein Eingriff in die kommunale Entscheidungshoheit der Wasserwirtschaft und insbesondere im hoheitlichen Sektor Abwasser ausgeschlossen wird. Denn diese kommunale Ent- scheidungshoheit ist verfassungsrechtlich geschützt. Die Aufnahme von Betreibern öffentlicher elektronischer Kommunikationsnetze und -dienste als Teil digitaler Infrastruktur in die Kategorie wesentlicher Einrichtungen ist aus Sicht des BDEW zu begrüßen. Flächendeckend verfügbare und leistungsfähige Telekommunikations- und Breitbandin- frastrukturen stellen eine Grundvoraussetzung für den Einsatz digitaler Technologien und digitaler Anwendungsfälle in Gesellschaft, Staat und Wirtschaft dar und sollten grundsätzlich einem ent- sprechend hohen Schutzniveau unterliegen. Dabei sollten jedoch die in den folgenden Abschnitten aufgeführten Aspekte berücksichtigt werden. www.bdew.de Seite 4 von 11
BDEW-Stellungnahme zur Richtlinie über die Resilienz kritischer Einrichtungen Im Hinblick auf die Definitionen in Artikel 2 des Legislativvorschlags, ist die Kohärenz zu NIS 2 zu begrüßen. 2.2. Ausweisung kritischer Einrichtungen (Artikel 2, 5) Neben der Aufnahme neuer Sektoren in den Geltungsbereich erfolgt außerdem eine Unterteilung in allgemeine kritische Einrichtungen dieser Sektoren sowie in kritische Einrichtungen, die für Eu- ropa von besonderer Bedeutung sind (Artikel 2). Dadurch würden zukünftig – im Gegensatz zur bisherigen Richtlinie – nicht nur Betreiber kritischer Infrastrukturen mit grenzüberschreitender Be- deutung die Richtlinie anwenden müssen, sondern, falls von den Mitgliedstaaten als solche ausge- wiesen, ebenfalls alle Betreiber kritischer Einrichtungen, die einen oder mehrere wesentliche Dienste erbringen, von dessen Erbringung nationale Infrastrukturen abhängig sind und die im Falle von Sicherheitsvorfällen zu erhebliche Störungen bei der Erbringung dieses Dienstes oder damit verbundener Dienste führen könnten (Artikel 5). Der BDEW schlägt vor, dass die Formulierung zur Bestimmung einer Einrichtung, die für Europa eine besondere Bedeutung hat, präzisiert wird. Das entscheidende Kriterium im vorliegenden Vor- schlag der Kommission scheint zu sein, ob ein Betreiber ein Vertragsverhältnis zur Erbringung ei- ner kritischen Dienstleistung mit diesen Mitgliedsstaaten hat. Infrastrukturbetreiber erbringen al- lerdings nur in dem Mitgliedsstaat, in dem sie ansässig sind, eine Dienstleistung. Dienstleistungen in oder für andere Mitgliedsstaaten werden nicht erbracht, weshalb dieses Kriterium im Fall von Infrastrukturbetreibern nicht erfüllt wird. Aus Sicht des BDEW sollte zusätzlich zu den in Artikel 5(2) genannten Kriterien für die Ausweisung einer Einrichtung als kritische Einrichtung die Anzahl der von einer Versorgungsunterbrechung betroffenen Endverbraucher berücksichtigt werden, nicht nur in Artikel 6 zur Bestimmung einer erheblichen Störung. Um fundierte Entscheidungen zu gewährleisten, sollten die Mitgliedstaaten die betroffenen Unternehmen aus den Sektoren bei der Ermittlung konsultieren. Zahlreiche Un- ternehmen in der Energie- und Wasserwirtschaft sind kleine und mittelgroße Unternehmen, die nur eine begrenzte Anzahl von Endverbrauchern in einer Gemeinde oder Region versorgen. Der BDEW unterstreicht, dass die vorgeschlagene Ausweitung des Anwendungsbereichs grund- sätzlich nur die Unternehmen von systemischer Relevanz umfassen sollte. Deswegen sollte den Mitgliedstaaten und den zuständigen nationalen Behörden der nötige Freiraum gegeben werden, um Betreiber kritischer Einrichtungen mit systemischer Relevanz auszuweisen. Die Kriterien soll- ten in erster Linie vor dem Hintergrund der Systemkritikalität der einzelnen Einrichtungen be- trachtet werden. Somit wird vermieden, dass jeder Sicherheitsvorfall als erhebliche Störung ge- mäß Artikel 6 gewertet werden könnte. 2.3. Ausnahme für KMU (Artikel 6) Gemäß Artikel 6 (2)c) sollen die Mitgliedstaaten der Kommission alle Schwellenwerte, die zur Fest- legung eines oder mehrerer der genannten Kriterien angewandt werden, übermitteln. National www.bdew.de Seite 5 von 11
BDEW-Stellungnahme zur Richtlinie über die Resilienz kritischer Einrichtungen determinierte Ausnahmemöglichkeiten für Kleinst-, kleine und mittlere Unternehmen sind grundsätzlich zu befürworten und entsprechen dem Grundsatz der Verhältnismäßigkeit. In die- sem Fall sollte allerdings auf der nationalen Ebene auf die Anwendung der EU-KMU-Definition bei der möglichen Bestimmung von Ausnahmen verzichtet werden. Art. 3 Abs. 4 der Definition würde dazu führen, dass die Eigentümerschaft von KMU für die An- wendung einer möglichen Ausnahme ausschlaggebend wäre. 1 Diese ist jedoch für die Zielerrei- chung der Richtlinie nicht relevant, allein die Systemrelevanz eines Unternehmens sollte hierfür in Betracht gezogen werden. Im deutschen Ordnungsrahmen für die Sicherheit informationstechni- scher Systeme (IT-Sicherheitsgesetz) wird beispielsweise zur Bestimmung von Betreibern wesentli- cher Dienste die sogenannte Versorgungskritikalität einer Einrichtung zugrunde gelegt, die so- wohl sektorspezifische Gegebenheiten als auch die systemische Relevanz einer Einrichtung be- rücksichtigt. Der BDEW bewertet diesen Bestimmungsansatz als sachgemäß und zielführend, um den Adressatenkreis der KE-Richtlinie bestimmungsgemäß einzugrenzen. Der BDEW fordert, dass auch weiterhin ein derartiges Kriterium im Energie- und Wassersektor an- gelegt werden sollte, um Überregulierung und unnötige organisatorische und finanzielle Aufwen- dungen auf Seiten der Wirtschaft und insbesondere Kleinst-, kleinen und mittleren Unternehmen vorzubeugen. 3. Identifikation von erheblichen Störungen (Artikel 6) Artikel 6 benennt die Kriterien zur Identifikation von erheblichen Störungen. Im Gegensatz zur vor- herigen EKI Richtlinie wurde an dieser Stelle eine erhebliche Ausweitung und Verschärfung der Kri- terien vorgenommen. Dennoch bleibt der vorgeschlagene Text vage in Bezug auf die genaue Be- wertung der Kriterien. Die Messbarkeit und somit Auswertung der Kriterien, wie bspw. die Ein- schätzung bezüglich möglicher Auswirkungen auf wirtschaftliche und gesellschaftliche Tätigkeiten, die Umwelt und die öffentliche Sicherheit, ist hochkomplex. Zusätzlich sollte vermieden werden, dass jeder Sicherheitsvorfall als erhebliche Störung gewertet werden könnte. Vielmehr sollte auch hier den Mitgliedsstaaten ein größerer Entscheidungsspielraum ermöglicht werden. 4. Anforderungen an kritische Einrichtungen (Artikel 10, 11, 13) Im Rahmen der KE-Richtlinie werden neue Anforderungen an kritische Einrichtungen gestellt. Zum einen sollen Betreiber kritischer Einrichtungen künftig zur Durchführung eigener Risikobewer- tung, die den Ergebnissen der Risikobewertung auf nationaler Ebene als auch lokalen Gegebenhei- ten und Besonderheiten Rechnung trägt, verpflichtet werden. Zum anderen sollen sie technische 1 Die KMU-Definition der Kommission zählt Unternehmen, deren Anteile zu mindestens 25 % von einer staatlichen Stelle oder Körperschaft des öffentlichen Rechts kontrolliert werden, grundsätzlich nicht zu den KMU. Damit sind bei- spielsweise Kleinstunternehmen und kleine Unternehmen, die zu einem überwiegenden Teil kommunale Anteilseig- ner haben, automatisch ausgeschlossen. www.bdew.de Seite 6 von 11
BDEW-Stellungnahme zur Richtlinie über die Resilienz kritischer Einrichtungen und organisatorische Maßnahmen zur Stärkung ihre Widerstandsfähigkeit ergreifen und umset- zen. Zusätzlich werden sie zur Weitergabe von Informationen über tatsächliche und mögliche Vorfälle an die relevanten nationalen Behörden verpflichtet. 4.1. Risikobewertung durch kritische Einrichtungen (Artikel 10) Gemäß Artikel 10 sollen kritische Einrichtungen künftig zu Risikobewertungen verpflichtet wer- den. Auf Grundlage der nationalen Risikobewertungen und anderen Informationsquellen sollen alle für die Einrichtung relevanten Risiken bewertet werden. Dabei sollen auch Risiken in die Be- wertung einfließen, die andere Sektoren, benachbarte Mitgliedstaaten sowie Drittstaaten beein- trächtigen könnten. Das Ausmaß einer solchen Abschätzung überschreitet einen angemessen und den Betreibern zumutbaren Rahmen. Risiken Dritter (und vor allem von anderen Mitgliedstaaten oder gar Drittstaaten) können nur schwerlich – wenn überhaupt – akkurat abgeschätzt werden. Auf eine solche Anforderung sollte folglich unbedingt verzichtet werden. Betreiber von kriti- schen Einrichtungen sollten sich stattdessen auf die eigenen, unmittelbaren Risiken beschränke n dürfen. Die Qualität der Analyse sollte stets Vorrang vor quantitativen Risikoauflistungen haben. Darüber hinaus sollte sichergestellt werden, dass die Durchführung der Risikobewertung im Ver- antwortungsbereich des Betreibers einer kritischen Einrichtung bleibt und nicht der Kontrolle durch nationale Behörden unterliegt. Die Etablierung einer gemeinsamen und unionsweit einheit- lichen Methodik für eine sachgerechte Risikobewertung wäre vor diesem Hintergrund zu begrü- ßen. Darüber hinaus ist eine ganzheitliche Bewertung - über Grenzen und Sektoren hinweg - nicht innerhalb von sechs Monaten möglich. In diesem Sinne muss der vorgesehene Zeitraum für die Bewertung auf mindestens zwei Jahre verlängert werden. 4.2. Resilienzmaßnahmen kritischer Einrichtungen (Artikel 11) Darüber hinaus werden Betreiber kritischer Einrichtungen dazu verpflichtet, technische und orga- nisatorische Maßnahmen zur Stärkung ihrer Widerstandsfähigkeit zu ergreifen und umzusetzen.2 Zusätzlich werden sie zur Weitergabe von Informationen über tatsächliche und mögliche Vorfälle an die relevanten nationalen Behörden verpflichtet. Einige der in Artikel 11 (1) aufgeführten Maßnahmen, insbesondere in Bezug auf die Katastro- phenvorsorge und die Anpassung an den Klimawandel, liegen außerhalb der direkten Kontrolle der Betreiber kritischer Einrichtungen und erfordern die Unterstützung der Mitgliedstaaten. Die Verlagerung von nationalstaatlichen Aufgaben und Pflichten auf Unternehmensebene ist nicht 2 Mit Blick auf die aufgrund der Verpflichtungen aus dieser Richtlinie anfallenden Kosten von Netzbetreibern, die ei- ner Netzentgeltregulierung unterliegen, kann angemerkt werden, dass diese von den relevanten Regulierungsbehör- den geprüft werden. Kosten, die der Prüfung zufolge angemessen und verhältnismäßig sind, werden durch Netzent- gelte oder andere geeignete Mechanismen gedeckt. www.bdew.de Seite 7 von 11
BDEW-Stellungnahme zur Richtlinie über die Resilienz kritischer Einrichtungen
verhältnismäßig und kann nicht von Betreibern kritischer Einrichtungen geleistet werden. Die da-
mit verbundenen Kosten und Unsicherheiten bei der Pflichtenerfüllung sind nicht überschaubar.
Obgleich ein risikobasierter Ansatz auf Betreiberebene generell zu begrüßen ist, sollte stets sicher-
gestellt werden, dass Risiken nicht von Mitgliedsstaaten auf Betreiber über Sektoren oder über
Grenzen hinweg übertragen werden. Auswirkungen von unternehmens- und betreibereigenen Ri-
siken auf die Gesellschaft können nur im Rahmen der von der nationalen Behörde vorgegebenen
Risikoszenarien berücksichtigt werden. Letztlich kann den Betreibern kritischer Einrichtungen
nicht von den Mitgliedstaaten die Bürde zu einer solchen Vorsorge auferlegt werden. Stattdessen
sollten die Mitgliedstaaten Betreiber in ihren Bemühungen unterstützen und den durch sie er-
zeugten Mehrwert wertschätzen.
Nach Artikel 11 (5) soll es der Kommission künftig möglich sein, Durchführungsrechtsakte für die
Festlegung von technischen und methodischen Spezifikationen für die Anwendung der Maßnah-
men zu verabschieden. Dies ist aus Sicht des BDEW abzulehnen, da Risikovorsorge und Business
Continuity Management auf internationalen Standards basieren sollten.
4.3. Meldepflichten von Sicherheitsvorfällen (Artikel 13):
Der BDEW sieht die Einführung einer Meldepflicht von potenziellen Unterbrechungen kritisch, so-
weit diese über die Meldepflichten nationaler Gesetzgebung hinausgehen und nicht in Kohärenz
zur NIS 2 stehen. Dabei sieht der BDEW eine besondere Bedeutung in der Klarstellung, dass solche
Meldungen nicht zu höherer Haftung für Betreiber kritischer Einrichtungen führen soll. Es sollte an
dieser Stelle dennoch weiter präzisiert werden, dass eine Meldung zu keinerlei Haftung führt. Mit
der offiziellen Meldung im Sinne Artikel 13 der Richtlinie an die entsprechenden n ationalen Behör-
den kommt der Betreiber vollumfänglich seinen Verpflichtungen nach.
Während es positiv zu bewerten ist, dass die zentrale nationale Kontaktstelle auch die zentralen
Kontaktstellen anderer betroffener Mitgliedstaaten über den Vorfall informieren muss, darf der
Informationsfluss dabei jedoch nicht einseitig sein. Darüber hinaus sollten auch die kritischen
Einrichtungen in den entsprechenden Mitgliedstaaten in den Informationsaustausch miteinbez o-
gen werden. Es ist zu begrüßen, dass die zuständigen Behörden gemäß Artikel 13 Ziffer 4 ver-
pflichtet werden sollen, den meldenden Betreibern eine qualifizierte Rückmeldung zu geben. Es
wäre in diesem Zusammenhang auch angemessen, diese Informationen an andere Betreiber im In -
und Ausland weiterzugeben.
Soweit die Pflicht zur Meldung erheblicher sowie potenzieller Sicherheitsvorfälle besteht, sollten
Meldepflichten weiterhin maximal auf potenziell erhebliche Sicherheitsvorfälle mit überregiona-
ler, nationaler oder europäischer Bedeutung beschränkt bleiben. Aus Sicht der Energie- und Was-
serwirtschaft ist es unabdinglich, dass ein möglicher Ordnungsrahmen folgende unionsweite Vor-
gaben enthält:
• Schlanke und einfache Meldewege, die auf etablierte Strukturen und Verfahren aufsetzen,
• standardisierte Meldeformulare, sowie
www.bdew.de Seite 8 von 11BDEW-Stellungnahme zur Richtlinie über die Resilienz kritischer Einrichtungen
• die Ermöglichung eines vertrauensvollen und vertraulichen Informationsaustauschs zwi-
schen der zuständigen Behörde und den Betreibern, indem Geschäftsgeheimnisse durch
die Behörden geschützt werden.
Erweiterte Berichtspflichten in Form von mehrfachen und konkurrierenden Meldepflichten und
Zuständigkeiten, die über den derzeitigen Rechtsrahmen hinausgehen, würden nur zu einem ho-
hen Aufwand an Bürokratie und Kosten auf Seiten der Wirtschaft führen. Sie sind aus Sicht des
BDEW daher zwingend zu vermeiden.
Darüber hinaus sind Doppelmeldungen zu vermeiden. Wenn es auf nationaler Ebene bereits Mel-
depflichten und etablierte Sicherheitsverfahren gibt, sollten diese primär Anwendung finden. Bei-
spielhaft kann hier auf die Meldung der Trinkwasserversorger in Deutschland an die Gesundheits-
ämter verwiesen werden. Eine Doppelmeldung könnte hier durch die Möglichkeit der Datenwei-
tergabe nach festgelegten Kriterien vermieden werden.
4.4. Zuverlässigkeitsprüfungen (Background Checks) (Artikel 12):
Die Kommission sieht vor, dass Mitgliedstaaten sicherstellen sollen, dass kritische Einrichtungen
Ersuchen um Zuverlässigkeitsüberprüfungen von Personen stellen können. Auf der Grundlage ei-
nes ordnungsgemäß begründeten Ersuchens der kritischen Einrichtung im Einklang mit der Ver-
ordnung (EU) 2016/679 (DSGVO) sollen diese Überprüfungen auch erweitert werden können, da-
mit auf weitere Erkenntnisse und sonstige verfügbare objektive Informationen zurückgegriffen
werden kann.
Aus unserer Sicht gibt es offene Fragen zum Umfang und der Durchführungszuständigkeit einer
solchen Zuverlässigkeitsprüfung, da derlei Verfahren verfassungsrechtlich sehr hohen Ansprüchen
zum Schutz der Grundrechte betroffener Individuen in Deutschland genügen müssen . An dieser
Stelle wäre es wichtig zu betonen, dass solche Prüfungen nur dann leistbar sind, wenn ausrei-
chende Kapazitäten bei den Sicherheitsbehörden dafür vorgesehen werden.
5. Zusammenarbeit und Berichterstattung (Artikel 4, 8, 9, 16, 17, 22):
Der BDEW spricht sich grundsätzlich für umfangreiche Informations- und Meldepflichten der natio-
nalen Behörden und der Kommission gegenüber den betroffenen Unternehmen der Energie- und
Wasserwirtschaft aus. Die Informationsweitergabe an KE-Betreiber und die Einrichtung von Instru-
menten für den freiwilligen Informationsaustausch zwischen kritischen Einrichtungen gemäß Arti-
kel 9 sind daher zu begrüßen.
Die Unterstützung der kritischen Einrichtungen durch die Mitgliedstaaten und zuständigen Behör-
den bei der Durchführung ihrer Risikobewertung und bei der Ergreifung von Maßnahmen zur Ge-
währleistung ihrer Widerstandsfähigkeit (Artikel 4) ist ebenfalls zu begrüßen. Laufende Frühwar-
nungen und koordinierte Reaktionen auch gegenüber den betroffenen Unternehmen sind wün-
schenswert.
www.bdew.de Seite 9 von 11BDEW-Stellungnahme zur Richtlinie über die Resilienz kritischer Einrichtungen Der BDEW unterstützt die mit Artikel 16 festgelegte Einrichtung einer Gruppe für die Resilienz kriti- scher Einrichtung. Der BDEW empfiehlt, dass auch Branchenvertreter darin aufgenommen werden. Dies ist wichtig und verhältnismäßig, da die KE-Richtlinie nicht nur Forderungen an die Mitgliedstaa- ten, sondern auch direkt an die Betreiber kritischer Einrichtungen stellt. Der vorgesehene Austausch der Gruppe für die Resilienz kritischer Einrichtung mit der NIS-Kooperationsgruppe ist zu begrüßen. 6. Zuständige Behörden und einheitlicher Ansprechpartner (Artikel 8): In den Mitgliedstaaten gibt es bereits viele Vorschriften, die Meldepflichten beinhalten. In Deutschland betrifft dies z.B. das Telekommunikationsgesetz (TKG) und das Energiewirtschaftsge- setz (EnWG) sowie das Wasserhaushaltsgesetz mit den dazu gehörenden Landeswassergesetzen und die Trinkwasserverordnung. Darauf basierend melden Unternehmen bereits heute Sicher- heitsvorfälle an verschiedene Behörden, wie z.B. die Bundesnetzagentur (BNetzA), das Bundesamt für Sicherheit in der Informationstechnik (BSI), oder das Bundeskriminalamt (BKA); in der Wasser- wirtschaft vornehmlich an die Gesundheitsämter. Neue Rechtsvorschriften zur Resilienz Kritischer Einrichtungen sollten aus unserer Sicht nicht dazu führen, dass Unternehmen zusätzlich an eine weitere Behörde melden müssen. Die Einrichtung einer zentralen Anlaufstelle, die nicht nur eine Verbindungsfunktion ausübt, sondern auch die Meldewege vereinfacht und harmonisiert (One- Stop-Shop-Prinzip) könnte hier Abhilfe schaffen. Im vorliegenden Fall sollten das die nationalen zuständigen Behörden (National Competent Authorities), wie das Bundesamt für Sicherheit in der Informationstechnik in Deutschland sein, die bereits in die Umsetzung der NIS 2 involviert sein werden. Zudem sollen die Mitgliedstaaten gemäß Artikel 8(5) sicherstellen, dass ihre zuständigen Behör- den andere nationale Behörden sowie relevante interessierte Parteien, einschließlich kritischer Stellen, konsultieren und mit ihnen zusammenarbeiten. 7. Kritische Einrichtungen von besonderer europäischer Bedeutung (Artikel 14, 15) Nach Artikel 14(2) gelten Einrichtung als kritische Einrichtung von besonderer europäischer Be- deutung, wenn sie als kritische Einrichtung ausgewiesen wurde und wesentliche Dienstleistungen für oder in mehr als einem Drittel der MS erbringt – dies entspricht 9 oder mehr Mitgliedstaaten. Die Kommission sollte dabei vor allem sicherstellen, dass kritische Einrichtungen von besonderer europäischer Bedeutung nicht doppelten Berichtspflichten unterliegen. 8. Aufsicht und Durchsetzung der rechtlichen Anforderungen (Artikel 18, 19) Ein Durchsetzungsmechanismus gemäß Artikel 18 soll laut Kommission dazu beitragen, dass die Vorschriften der Richtlinie eingehalten werden: Die Mitgliedstaaten sollen sicherstellen, dass die nationalen Behörden über die Befugnisse und Mittel verfügen, um kritische Einrichtungen vor Ort zu inspizieren. www.bdew.de Seite 10 von 11
BDEW-Stellungnahme zur Richtlinie über die Resilienz kritischer Einrichtungen Maßnahmen zur Aufsicht über die Durchsetzung der in der Richtlinie enthaltenen Vorgaben, wie bspw. die Durchführung von Audits, müssen aus Sicht des BDEW verhältnismäßig sein und dürfen den Mehrwert der ursprünglichen Maßnahme nicht überschreiten. Zudem sollten bereits beste- hende Vorgaben zur Auditierung und Prüfung berücksichtigt werden. Erhöhte Erfüllungsaufwände durch weitere Prüfpflichten sollten vermieden werden können, wenn andere Nachweise beispiels- weise aus der Umsetzung der Vorgaben der NIS 2 erbracht werden können. Gemäß Artikel 19 sind die Mitgliedstaaten im Falle eines Verstoßes gegen die Vorschriften der Richtlinie dazu ermächtigt, Sanktionen zu verhängen. Dabei sollte stets auf Kohärenz der Sanktio- nen zwischen den Mitgliedstaaten sowie dem weiteren europäischen Rechtsrahmen geachtet werden. Der Kommissionsvorschlag für eine NIS 2 formuliert aus Sicht des BDEW bereits einen umfassenden und hinreichenden Rahmen für mögliche bußgeldbewehrte Verstöße. Innerhalb der Richtlinie sollte auf die Einführung eines detaillierten Bußgeldkatalogs verzichtet werden. Ansprechpartner Sandra Struve Johannes Imminger Brüsseler EU-Vertretung Brüsseler EU-Vertretung Telefon: +32 2 774 5119 Telefon: +32 2 774 5114 sandra.struve@bdew.de johannes.imminger@bdew.de Yassin Bendjebbour Berliner Hauptgeschäftsstelle Telefon: +49 30 300199-1526 yassin.bendjebbour@bdew.de www.bdew.de Seite 11 von 11
Sie können auch lesen
